جلوگیری از حملات DOS و DDoS
جلوگیری از حملات DOS و DDoS
حملات DOS و DDOS جزو مرسومترين حملات شبکههاي کامپيوتري هستند و به همين دليل است که آگاهي از کارکرد و مقابله با اين گونه حملات، از اهميت ويژه اي برخوردار است.
براي توضيح نحوه عملکرد اين دو نوع حمله، رستوراني را در نظر بگيريد که ارسال غذا به مشتريان با دريافت سفارش تلفني، مهمترين کار آن است.
حال اگر شخصي بخواهد در کار اين رستوران خللي ايجاد کند، با برقراري تماسهاي تلفني مکرر، هم سفارشهاي دروغين ثبت ميکند و هم خطوط تلفني رستوران را اشغال کرده است و عملاً کار رستوران را مختل کرده است. حملات DoS نيز دقيقاً چنين مکانيسمي دارد.
هدف فرد اخلالگر، سرقت اطلاعات نيست بلکه از کار انداختن سرويسدهي، هدف اصلي است.
در حملات DDoS ، مهاجم تعداد زيادي سيستم را تهديد کرده و به صورت مجازي آنها را کنترل ميکند.
(به اين نوع سيستمها زامبي گفته ميشود) بکارگيري سيستمهاي زامبي عليه يک هدف به منظور از پادرآوردن آن، نهايتاً به توقف سرويسدهي هدف منجر خواهد شد. در واقع تعداد
زيادي حملات هماهنگ شده بر روي سرويسهاي سيستم قرباني و يا منابع شبکه هدف، انجام ميشود.
جلوگیری از حملات dos و ddos
در هر دوي اين حملات مهاجم مانع دسترسي کاربران معتبر به سرويسهاي وب ميشود و سرور هدف از ادامه فعاليت باز ميماند اما تفاوتي که وجود دارد، اين است که در حمله DOS مهاجم برنامه را از يک کامپيوتر اجرا ميکند در حالي که در حمله DDOS مهاجم برنامه را از چند سيستم که در حيطه يک شبکه گسترش يافتهاند، اجرا ميکند.
آپگريد سختافزار و نرمافزار به آخرين نسخه، هميشه بهترين راه براي جلوگيري از حملات DoS بوده اما متأسفانه در مورد حملات نوع DDoS معمولاً راه حلهاي کمتري وجود دارد به طوري که حتي شرکتهاي عظيمي مانند مايکروسافت و سوني هم قرباني حملات DDoS شده اند.
به نظر ميرسد تنها راه مقابله با اين حملات اين است که شبکه به صورت دائم و زمان بندي شده مانيتورينگ و محافظت شود.
پيکربندي مناسب اپليکيشنهاي سرويس دهنده نيز در به حداقل رساندن اثرات حملات DDoS تأثير بسزايي دارد.
با اين مقدمه، به بررسي جزئيتر حملات DOS و DDOS و انواع آن پرداخته و راههاي مقابله با اين نوع حملات مورد بررسي قرار خواهد گرفت.
حملات DOS چگونه عمل می کند؟
در حمله DOS)Denial of Service) مهاجم با ارسال درخواستهاي بسيار به يک سرور يا کامپيوتر، باعث استفاده بيش از حد از منابع آن (پردازنده سرور، بانک اطلاعاتي، حافظه، پهناي باند و…) ميشود تا سرور مجازي يا اختصاصي سايت ميزبان کند شده و به دليل حجم بالاي پردازش، دچار وقفه و اختلال و يا حتي قطعي کامل شده و از دسترس خارج شود.
هدف از اين حمله سرقت اطلاعات، بدست آوردن پسورد يا تخريب سيستم نيست، بلکه مهاجم تنها قصد دارد يک سرور يا سيستم را براي مدتي از دسترس کاربران معتبر خارج کند.
در DOS مهاجم درخواستهاي متعددي به سرور هدف ميفرستد تا شبکه با مقادير زيادي ترافيک مواجه شود و عملاً تمامي منابع شبکه صرف پاسخگويي به اين ترافيکهاي کذب شود.
از اين طريق دسترسي وب سرور به شبکه مختل خواهد شد. در نتيجه اين کار، کاربران معتبر نميتوانند به وب سايت دسترسي پيدا کنند و در بارگزاري وب سايت با پيغام خطاي Network Timeout مواجه خواهند شد.
تکنيکهايي که مهاجمان در حملات DoS از آن استفاده ميکنند، عبارتند از:
حملات برمبناي پهناي باند
جريان سيلآساي درخواست سرويس
حملات بر مبناي جرياني از SYN (همگام سازي)
حملات بر مبناي جرياني از ICMP (پروتکل کنترل پيامهاي اينترنتي)
حملات نظير به نظير
حملات DoS دائمي
حملات برمبناي جرياني از اپليکيشنها
بر حسب نوع سيستم قرباني، علائم حمله DoS متفاوت است اما چهار نشانه اصلي اين نوع حمله عبارتند از:
موجود نبودن يک وبسايت خاص
ناتواني در دسترسي به هر وبسايتي
افزايش چشمگير تعداد ايميلهاي spam دريافتي
کارآيي کند و غيرمعمول شبکه
جلوگیری از حملات dos و ddos
حملات DDOS چگونه عمل ميکند؟
يک حمله Distributed Denial of Service يا به اختصار DDoS، تعداد زيادي حملات هماهنگ شده بر روي سرويسهاي سيستم قرباني و يا منابع شبکه هدف است که مستقيماً از طرف تعداد زيادي سيستم زامبي رخ ميدهد.
سيستمي که با سوءاستفاده از نقاط آسيبپذير و يا ضعف امنيتي، کنترل آن به دست مهاجم افتاده و از آن براي انجام عمليات مخرب و تهاجم عليه کامپيوتر يا شبکه ديگري استفاده شود، سيستم زامبي (zombie) نام دارد.
سرويسهايي که هدف اصلي حمله هستند، Primary target (هدف اوليه) و سيستمهايي که از آنها جهت ايجاد حملات هماهنگ استفاده ميشود، Secondary target (هدف ثانويه) نام دارند.
اصولاً حملههاي DDOS با انگيزههاي متفاوت توسط يک نفر يا گروهي از افراد صورت ميگيرد.
به طور مثال ممکن است افرادي براي از سر راه برداشتن رقيب خود در وب، دست به اين نوع حمله بزنند تا مخاطبان آن سايت يا سرور، به دليل عدم دسترسي يا سرعت پايين، دلسرد شده و از آن فاصله بگيرند.
خوشبختانه يکي از موارد مثبت اين نوع حملات اين است که به سرعت ميتوان به نحوه عملکرد سرويس مشکوک شده و جلوي اختلال بيشتر را گرفت.
پس از اينکه سروري مورد حمله DDOS قرار گرفت، ممکن است علائم زير مشاهده شود:
افزايش انفجاري درخواستها
کندي در پاسخگويي به درخواستها
عدم اتصال به پايگاه داده
مصرف بيش از حد و غيرطبيعي منابع سرور (حافظه و يا پهناي باند) در يک بازه زماني کوتاه
اختلالات در سرويسهاي جانبي نظير ايميل
در اولين اقدام براي مهار يک حمله DDos بايد از شرکت هاستينگ يا ISP خواسته شود حجمي از ترافيک را براساس اينکه از کجا ميآيند، فيلتر کند.
نکته مهم اين است که براي پيشگيري از وقوع حملات، هميشه بايد از قبل برنامهريزي داشت. معمولاً در حين حملات فرصت کافي براي برنامهريزي جهت واکنش نيست و تنها کاري که اولويت دارد، بازگرداني سرويسها و مقابله با حملات است.
از اين رو برنامهريزي براي انجام چنين اقداماتي، بايد قبل از وقوع حملات انجام شده باشد.
از جمله مواردي که ميتوان پيش از حمله برنامهريزي کرد، عبارتند از:
پيکربندي مناسب اپليکيشنهاي سرويسدهنده
تماس با سرويسدهنده اينترنت سرور يا سايت و مرور پروتکلهاي قابل انجام در شرايط حمله
تهيه فهرستي از IPها و پروتکلهايي که ميتوان در زمان حملات، به آنها اجازه دسترسي داد
راه اندازي تجهيزات نرمافزاري و سختافزاري مورد نياز براي مقابله با حملات
محدود کردن مواردي که ممکن است مورد حمله قرار گيرد
برطرفسازي نقاط ضعف امنيتي مرتبط
استفاده از فايروال قوي در سيستمها و سرورها
ابزارهاي پيشگيري از حملات DOS و DDOS
فايروالها (Firewall)
به گونه اي تنظيم ميشوند که طبق قوانيني، پروتکلها را بپذيرند يا رد کنند.
براي مثال در صورتي که حملاتي از سمت چند IP غيرمعمول اتفاق بيفتد، ميتوان با تعيين يک rule نسبت به ناديده گرفتن بستههاي ارسالي از سمت مهاجمان اقدام کرد.
سوئيچها
بيشتر switchها داراي قابليت Rate-Limiting و ACL (Access Control List) هستند. بعضي از سوئيچها به صورت خودکار قابليتهايي براي کشف و اصلاح حملات DOS ارائه ميکنند.
(لازم به توضيح است Rate limiting راهکاري براي کنترل ترافيک ورودي و خروجي به/از يک شبکه و ACL فيلتري است که به وسيله آن ميتوان تعيين کرد که چه IPهايي اجازه ورود يا خروج از شبکه را داشته باشند.)
روترها
Routerها نيز به مانند سوئيچها قابليت Rate-Limiting وACL دارند.
(البته به صورت دستي نيز تنظيم ميشوند.) روترها ميتوانند طوري پيکربندي شوند که از حملات ساده ping با فيلترکردن پروتکلهاي غيرضروري جلوگيري کنند.
Application Front End Hardware
سختافزار هوشمندي است که سر راه شبکه و قبل از رسيدن ترافيک به سرور قرار ميگيرد و packetها را به محض ورود به سيستم، آناليز کرده و آنها را براساس اولويت، معمولي بودن يا خطرناک بودن شناسايي ميکند.
پيشگيري بر پايه IPS
سيستمهاي پيشگيري از نفوذ IPS (Intrusion-prevention systems) در حملاتي که Signature Associated هستند، موثر عمل ميکنند.
دفاع بر اساس DDS DDS (DOS Defense System)
قادر است حملات DOS Connection-Based و محتويات مشروع اما داراي قصد بد را بلاک ميکنند.
(لازم به توضيح استDDS اولين خط دفاعي در برابر حملات DDoS و همچنين جريان سيلآساي درخواست سرويس است.)
Blackholing و Sinkholing
با استفاده از اين دو روش، تمامي ترافيک DNS مورد تهاجم يا نشاني IP به سياهچاله فرستاده ميشود.
(سياهچاله جايي است که بستهها به آن ريخته ميشوند و هيچ اطلاعاتي در مورد بستههاي افتاده به منبع ارسال نميشود.)
از مخزن DNS براي هدايت و جلوگيري از حملات و فعاليتهاي مخرب با هدايت مجدد ترافيک بد به يک سرور جايگزين استفاده ميشود.
Clean pipes
در اين روش، ترافيک با روشهايي ازجمله پروکسيها، تونلها يا حتي مدارات مستقيم که ترافيک بد و ديگر حملات اينترنتي را تفکيک ميکنند، عبور ميکنند.
سياه چاله
اين روش تمام ترافيک را مسدود کرده و به سمت سياهچاله (جايي که بستهها دور ريخته ميشوند) هدايت ميکند.
سيستمهاي کشف نفوذ
سيستمهاي کشف نفوذ (intrusion detection systems) به همراه فايروالها به کار ميروند تا به صورت خودکار در مواقع لزوم ترافيک را مسدود کنند.
سرورها
پيکربندي مناسب اپليکيشنهاي سرويسدهنده در به حداقل رساندن تأثير حمله DDoS تأثير فراواني دارد.
پهناي باند زياد
تهيه پهناي باند زياد يا شبکههاي افزونه ميتواند براي مقابله با حملات DdoS و DoS مؤثر واقع شود.
مقالات به روز شبکه را در وبلاگ تخصصی آلیاسیس بخوانید.
